政府數據開放中個人信息保護規范化研究

敖顏思文

(國家開放大學 組織部，北京 100039)

一、相關概念厘清

(一)政府數據開放的概念及其發展

政府數據開放運動源于美國，2009年美國運行政府數據開放網站“Data.gov”，《開放政府數據法案》作為專門法案也于2018年通過。2010年英國上線數據開放網站“Data.gov.uk”以響應歐盟開放數據戰略。歐盟于2018年和2020年相繼出臺《通用數據保護條例》和《歐盟數據戰略》，強調數據主體的權利保障。我國政府數據開放實踐始于2012年上海市首建的政府數據服務網“Datashanghai.gov.cn”。此后，京、黔、浙、魯等省市陸續跟進，廣東省率先構建了三級政府數據開放網絡。國家各政府部門也陸續發文強調和指導政府數據的開放與共享。我國政府數據開放實踐開始由地方試行發展到國家頂層設計階段。

政府數據具有以下幾個特點：一是政府數據要求政府部門不得憑借主觀意志篩選和處理；二是政府數據由政務工作中產生，數據產生所需經費來源于財政稅收，應屬于全體公民共有，因此政府數據應當無差別開放并提供數據獲取的便利；三是政府數據具有極高價值，其開放內容已不限于“三公”經費、權力清單、政策文件等政務信息，還包括公民個人的消費、出行、信用等數據，甚至還涉及氣象變化、文化偏好、社會心理等內容。由于政府數據總量大、更新快，數據交互性強，在不同數據分析技術整合下，將實現多樣性數據價值，供不同主體各取所需。由于政府數據的強交互性和極高的使用價值，不同主體獲取和分析政府數據的意愿強烈，個人信息泄露的可能性隨之增加。

(二)個人信息保護的概念及其發展

在我國立法文本中，2021年《個人信息保護法》和《網絡安全法》明確個人信息具有“識別”和“記錄”兩個要素，即能夠識別自然人身份的各項信息均為個人信息，因此個人信息所涵蓋的范圍極為廣泛。個人信息的法律性質方面，2015年公布的《民法總則專家意見稿》將“信息”納入民事權利客體，凸顯了信息的財產權屬性。2017年《民法總則》將個人信息從知識產權規定中移除，獲得了單獨的法條表述，傳統隱私權保護路徑難以實現個人信息保護需求已成為學界共識并已得到實踐驗證。在大數據信息技術加持下，個人信息流動、開發和使用日益頻繁，個人信息已承載諸如隱私、財產、安全等諸多法益[1]，與公共利益甚至國家安全的關系更為緊密。

現今實踐中個人信息通常以“集合”的方式被收集，大數據的價值更多源于收集后的開發[2]，以及多種集合的交叉利用。一方面，網絡虛擬空間中信息流動具有高度的便利性，由于網絡空間的高風險和信息技術的不對稱，個人信息中包含的個人隱私和安全要素被泄露并廣泛傳播的風險極大，短時間內難以采取技術手段進行彌補，具有損害范圍大、周期長的特點；另一方面，個人信息應用廣泛推廣，使用場景增多，出現了以數據交易為代表的產業新形態和以社區健康信息碼為代表的公共管理新方式。在此背景下，個人信息的快速流通和頻繁使用已呈常態化，通過保護個人隱私的方式保護個人信息難以適應數據產業發展實踐的需要，個人信息所承載的多元化法益愈發受到學界重視，個人信息保護由傳統的“保護”轉向“開發利用中的保護”。

(三)政府數據開放與個人信息保護的關系

從政府數據開放與個人信息保護的關系上看，對個人信息的合理采集和開發利用是政府數據開放的邏輯起點和實踐基礎。一方面個人信息的采集存儲和分析利用能有效節約政府治理成本，提高行政履職的精細度。如新型冠狀病毒防治過程中，公眾對確診和疑似病人的行程軌跡和診治情況等信息的公開有著極高的期待，這既需要統一數據獲取渠道的搭建，同時也需要建立信息分類、整合、發布、存儲和刪除的全周期流程，從而在滿足公眾知情和病人隱私間實現協調。

另一方面，政府掌握和管理最完整、最全面的公民個人信息，在大數據信息技術的加持下，公民個人財產、安全、隱私等信息被間接或直接追蹤、定位、泄露的風險隨之增加；由于信息技術的不對稱，一旦發生公民信息泄露難以在短時間內彌合，其損害也無法根本消除。同時伴隨著技術的發展，信息存在的載體也由存儲優先轉變為流動優先，政府信息更多以電子化、數據化形式出現，公眾發掘和收集信息的能力得以增強，政府信息公開的價值也由傳統上的保障公眾知情權向搭建公眾參與社會治理和民主監督渠道轉變。

二、政府數據開放中個人信息保護規范存在的問題

我國傳統保障模式以信息的“保護”為優先價值。傳統個人信息立法保護模式并未對大數據的時代背景與政府數據開放的廣泛實踐做出有效回應。個人信息作為被保護的客體，要求政府制定具體的保護規定和標準，在保證信息安全的前提下實現開放與保護的協調。現階段個人信息保護在立法模式上仍采取分散立法模式，同時存在個人信息保護理念落后、保護內容虛化等問題。

(一)個人信息保護理念之窠臼

當前我國個人信息保護在觀念上仍以隱私代替信息。一方面，在基礎概念上未能給出個人信息與個人隱私的明確界分。在中央立法層面，《網絡安全法》突出了個人信息的技術性，本質上仍是傳統個人隱私管制型保護的延續。在地方立法層面，絕大多數地方政府在數據開放相關立法文本中普遍采取個人隱私的表述，將個人隱私與國家秘密、商業秘密并列，反映出立法機關對個人信息和個人隱私的基礎概念尚不明晰。個人信息并不是以個人為主體來研究信息，而應是從信息出發來研究牽涉其中的個人[3]。個人信息與個人隱私概念的混用將在事實上造成對個人信息使用的限制。

另一方面，剛生效的《個人信息保護法》中，個人信息的保護更多的強調信息采集和使用方在信息采集方式和范圍上的告知義務，未能對實踐中用戶出于使用便利而選擇忽視告知協議的情形予以回應，造成實際上的告知失效，在個人信息權利的有效實現方面尚缺乏可操作性規定。

(二)個人信息保護分散立法之弊端

目前我國在政府數據開放領域關于個人信息保護的條文散見于各類各級政策法規及標準之中。分散立法模式存在以下弊端：其一是保障規范的非體系化，表現為相關立法中基本概念與內涵不統一。相關規范往往是針對中央或上級政府要求而制定的政策，與當地實際的符合度不足，在內容上缺乏體系性，且出于節約立法時間成本的考慮，地方政府普遍采取規范性文件的形式，效力層級較低。另一方面，不同立法文本間的相互銜接不暢，不同立法文本中對信息保護的主體表述不一，存在“個人”“用戶”“消費者”“個人信息主體”等不同表述。如2016年“放管服工作要點”中規定向社會公開的例外僅限于個人隱私，與《政府信息公開條例(2019)》第15條的規定①不符，在涉及到“公共利益”可能受到重大影響時，部分可以公開的信息可能也屬于個人隱私。

其二是政府數據開放中個人信息保護的內容虛化。當前多數地方的數據開放法規政策多以宣示性內容為主，開放政策缺乏指導性，規范標準的可操作性不強。一方面現有立法中個人信息保護義務的具體規制缺失：在保護責任主體上，《網絡安全法》中政府是否包含在規制范圍內尚有爭議，《數據安全管理辦法(征求意見稿)》中也并未明確網絡運營者是否包括政府部門。又如《侵權責任法》第六十一條規定的病歷資料等病人信息不能完全涵蓋個人信息。在保護方式上，數據安全的考核、評估和問責等配套性措施尚不完善。另一方面，不同地區存在技術發展能力和法治建設水平差異，政府數據開放時間靠后的地區往往以先行地區為藍本，借鑒其制度規范和政策內容，從而節約立法成本，但同時出現了規范內容同質化現象，缺乏可操作性。

(三)個人信息保護法律責任制度之不足

從數據開放流程上看，政府數據開放中個人信息保護的義務主體既包括政府數據開放的主管部門，也應包括數據開發和利用的相關組織和個人。與此相對應，個人信息保護法律責任也應針對二者進行制度安排。當前個人信息保護法律責任制度存在以下不足：一是法律責任主體規定不一致。以中央立法層面為例，《消費者權益保護法》中個人信息保護的義務主體是“經營者”，《網絡安全法》《數據安全管理辦法(征求意見稿)》則是“網絡運營者”，《十三五國家信息化規劃》等政策文件則未明確表述政府數據開放中個人信息保護的主體。二是對數據利用方個人信息保護的法律責任欠缺規定。以地方立法層面為例，《浙江省公共數據和電子政務管理辦法》和《貴州省大數據發展應用促進條例》均以專章的形式對“法律責任”進行了較為詳細的規定，但所規定的法律責任制度僅涉及數據開放的主管部門，對數據利用方的法律責任并未明確。盡管可以通過“已有法律責任規定的，從其規定”進行問責，但實踐中通過概括性責任條款追責仍存在制度障礙。

另外，我國民事立法對個人信息的定性、損害填補與救濟措施缺乏詳細的規定，對侵犯個人信息的行為一般以《刑法》第253條為主要制裁依據，由于刑法謙抑性和信息保護的技術性，由國家網信部門和政府數據開放主管部門開展監管執法更為合適，這也在一定程度上表明完善專門立法和建立數據管理機構確有必要。

三、政府數據開放中個人信息保護規范化建議

(一)政府數據開放中個人信息保護的立法思路

個人信息并不是一項絕對權利而是需要在具體的社會環境中去考量它的功能。在大數據時代背景下，與其強調信息的廣泛使用提高了信息安全風險，不如尋求個人信息使用中的安全，從而在有效維護個人信息權益的同時最大程度實現政府數據開放價值。

一是尋求個人信息使用中的安全。大數據時代賦予了個人信息新的特質，個人信息作為法律意義上的財產權利客體已被學界普遍認同。《民法總則》第126、127條明確了數據的財產屬性，而信息作為經過處理的數據[4]，同樣具有財產屬性。《保密法》第4條也提出了便利信息流動的原則。司法實踐中單純未經明示同意的個人信息公開行為并不當然構成侵權[5]；地方實踐中貴州、上海以及北京中關村等地也已建立數據交易中心，表明賦予個人信息排他性權屬并未得到實踐認可。除財產屬性外，個人信息還具有公共管理價值，比如《傳染病防治法》第12條、第31條授權衛生主管部門收集個人信息。大數據背景下信息的本質就在于流通和使用[6]，因此強調對信息的控制以達到保護目的，這一做法既缺少技術支持和實踐依托，也與信息開發的發展趨勢不符。

政府數據開放作為信息合理使用的典型代表，其本身便帶有信息使用與保護之間的沖突，這就要求在信息保護價值取向上必須尋求信息保護與使用間的協調。在既有法律制度不足以規范政府數據開放和有效保護個人信息的情況下，應當通過個人信息保護的專門立法和政府數據開放的專門立法，在充分實現政府數據開放價值的基礎上有效保護個人信息。

二是注重信息賦權與政府責任并舉。政府數據開放中個人信息保護應當在采納基本權利保護模式的同時，明確信息處理主體的管理職責和保護義務。個人信息的基本權利保護模式是指在憲法中確認個人信息權的基本權利地位。目前我國立法規范中“明示同意”的規則在一定程度上承認了個人的信息支配權[7]。當前絕大多數國家均采納個人信息的基本權利保護模式，從實踐上看，單純地以私法構建權利和權利救濟框架難以實現個人信息的有效保護。因此必須通過立法明確個人信息的相關權利，從而協調政府數據開放與個人信息保護的沖突。

個人信息基本權利保護模式的確立并不意味著信息處理主體管理職責和保護義務的減輕。相反，在政府數據開放領域，政府的行政強勢地位以及大數據提供的技術優勢使得信息主體難以支配、控制所享有的信息；同時，個人信息具有的經濟、公共管理等價值，并不以信息是否視為權利而改變。因此在賦予公民個人信息權利的同時，也應當明確信息處理主體的信息管理職責和保護義務。一方面，要求政府在數據開放之前明確數據開放的標準和范圍；另一方面要求加強開放數據的監督和控制，降低數據安全風險。

三是注重個人信息保護的社會監督。從信息技術能力上看，相較于公民個體，信息行業組織不存在明顯的技術劣勢，發現政府數據開放中的管理缺陷和信息風險的可能性較高，同時信息行業通過技術標準和行業自律規范約束行業組織成員的信息使用行為[8]，也在一定程度上降低了政府數據開放過程中個人信息泄露風險；從數據開放參與主體上看，除作為信息主體的個人、信息開放主體的政府部門外，還存在作為信息利用方的社會組織或個人，信息利用方出于使用便利的主觀需求，對政府數據開放范圍、程序以及開放文件格式提出的改善建議，也將有助于提升政府數據開放中信息管理的標準化水平。在政府數據開放參與主體眾多以及信息技術不確定的情況下，應當構建政府數據開放的社會監督機制，結合數據開放規范的技術約束，充分運用社會力量對政府數據開放中個人信息保護進行監督。

(二)政府數據開放中個人信息保護的立法原則

與互聯網和大數據應用技術相比，數據安全技術的開發因不符合成本控制需要而處于明顯劣勢[9]，明確政府數據開放中個人信息采集和使用原則以指導政府數據的采集、存儲、開放及使用程序顯得尤為重要。《網絡安全法》等涉及個人信息保護的諸多法律共同確立了用戶同意前置的基本原則，其既與個人信息的社會地位不吻合，也不具有法律上的正當性，在政府數據開放領域，應當確立以下個人信息采集和使用原則：

一是政府數據合理采集和使用優先原則。《國家安全法》第83條明確了個人信息依法收集和必要限度的原則。一方面，在數據和信息被廣泛采集、存儲和使用的現實狀況下，政府在推動數據使用和開放過程中依托數據分析技術輔助決策，從而提升決策的科學性；另一方面，從個人出發強調對信息的絕對自主并不符合現實需要，應當通過立法明確政府數據合理采集和使用優先原則。政府數據合理采集和使用優先并不意味著個人信息權利的喪失，而是要求在追求數據的價值最大化的同時，達到將公共領域和私人領域風險最小化的效果。當前個人信息安全規范中已提及信息主體統一的例外規定，在今后專門立法中應予吸收。

二是政府數據安全原則。政府數據安全原則的實現包括政府數據安全管理和政府數據安全技術標準兩項內容，一方面要求政府在數據采集、存儲和使用過程中遵循安全可控、目的明確、權責明確的要求[10]，制定政府數據安全管理規范、流程、標準及相關配套措施，保障信息主體對信息使用的知情、查詢、更改、刪除和被遺忘權等權利，完善公民個人信息被侵犯的救濟途徑；另一方面，整合已有大數據應用和政府數據開放平臺管理規則，明確數據保存期限、處理標準和開放范圍，從而確保各領域政府數據的安全銜接，這既需要數據安全管理專業人員的培養，同時也要求專門政府數據管理機構的保障。

三是利益協調原則。政府數據開放過程中存在公共利益與個人利益之間的沖突，而利益協調又以數據安全領域法律規范的完善為前提。一般而言，各國法律將同意原則作為數據使用的前提，但也規定了個人同意的例外事由。但目前在涉及數據管理和個人信息保護法律規范中國家安全和公共利益的判斷依據尚付闕如，也因此產生了政府數據開放過程中公共利益與個人利益難以協調的問題。因此，應當吸收我國2018年公布的《信息安全技術個人信息安全規范》“徑直采集個人信息事由”的規定，基于法律保留原則，適當限制個人信息權利的行使，以保障公共管理和服務目的的實現。同時，也應基于比例原則，依據其所保障的國家利益或公共利益的性質和重要程度，明確信息采集和使用的標準和范圍。隨著社會治理要求的不斷拓展，實踐中普遍存在公民信息采集和公共利益保護的協調問題。考慮到社會治理需要，如避免新冠疫情防治實踐中頻繁出現隱瞞接觸史的行為，應當在政府數據開放過程中，通過專門立法進一步明確政府數據采集的標準和范圍。

四是個人信息的類型化區分原則。現有規范中概括和列舉式的表述方式難以窮盡個人信息的范圍，同時不加區分地對個人信息依照單一標準進行保護規制，既不利于個人信息價值的實現，同時也無助于政府數據開放與個人信息保護之間矛盾的協調。因此應當對個人信息進行類型化區分，針對不同類型的個人信息采取相對應的保護措施。

目前學界主要以識別性、敏感度、信息主體為標準，將個人信息類型化為直接或間接信息、敏感或一般信息、普通群體或特殊群體信息三類[11]。比較而言，敏感信息與一般信息的區分對個人信息保護的意義更為明顯。一方面，敏感信息與一般信息的劃分已在我國《個人信息保護指南》《征信業管理條例》等規范中予以體現。2007年《信息安全等級保護管理辦法》劃分了信息安全的5個等級，但未對等級劃定標準和具體信息保護措施作細致說明，可操作性不強。2017年《個人信息安全規范》也以國家推薦性標準的形式列舉了個人敏感信息的范圍，使得敏感信息的判斷標準和范圍有章可循。另一方面，以信息的敏感度為標準，適當調整政府數據開放中的數據管理規范和標準，在實踐層面能夠兼顧政府數據開放的安全與效率。《工業數據分類分級指南(試行)》(工信廳信發〔2020〕6號)根據數據的風險程度設置了相應的管理流程；2020年10月正式生效的新版《個人信息安全規范》單獨強調了個人生物信息的特殊性，規定個人生物信息收集前的單獨告知和限制存儲的特殊要求，也體現了個人信息“場景式”保護的需要。

我國目前對敏感信息的界定主要采取結果導向的判斷標準，認為應當將信息泄露后對信息主體產生消極影響的視作敏感信息。相較而言，《個人信息安全規范》對信息泄露后產生的影響程度、影響方式等進行了更為清晰的界定，而《個人信息保護指南》中“敏感信息的判定需綜合分析主觀意愿和服務特征確定”[12]的表述對敏感信息的判斷進行了綜合考量，留下了后續立法完善的解釋空間。就域外立法上看，生物特征信息、金融信息、位置信息普遍被納入敏感信息范疇。鑒于此，我國敏感信息與一般信息應當延續《個人信息安全規范》中“定義+列舉”的規范方式，增加綜合考量的解釋空間，為后續實踐中敏感信息和一般信息的變化提供制度調整空間。對政府數據開放過程中已納入敏感信息的數據應當進行嚴格審查，做好敏感信息的篩選和篩除工作。對于非敏感、較小風險或通過技術手段能及時修正的信息類型，仍應強調信息存儲和使用主體的管理義務。

注釋：

①參見《政府信息公開條例(2019)》第十五條：涉及商業秘密、個人隱私等公開會對第三方合法權益造成損害的政府信息，行政機關不得公開。但是，第三方同意公開或者行政機關認為不公開會對公共利益造成重大影響的，予以公開。